Blog

Analisis Forense – Parte VI – Como ocultar un archivo

1 Analisis Forense – Parte I – Montando el Laboratorio y Clonado con DD

2 Analisis Forense – Parte II – Foremost: Como Recuperar Archivos Borrados

3 Analisis Forense – Parte III – Autopsy: Como analizar un disco duro

4 Analisis Forense – Parte IV – Como funciona la papelera de Windows

5 Analisis Forense – Parte V – Volatility: Como analizar la memoria RAM de Windows

6 Analisis Forense – Parte VI – Como ocultar un archivo



Vamos a ver como podemos ocultar ficheros dentro de otros en Windows gracias a un fallo en el diseño del sistema de archivos NTFS.

Primero crearemos crearemos un fichero de texto llamado flujos.txt en el que introduciremos el contenido “flujo1”. Lo que vamos a hacer será ocultar un fichero de texto llamado flujos2.txt (y le meteremos de contenido “flujo2”) dentro de flujos.txt. Para hacer esto lo que haremos será lo siguiente:

echo flujo2 > flujos.txt:flujos2.txt

De esta forma cuando abrimos el fichero flujos.txt con el bloc de notas de windows (notepad) solo veremos el contenido “flujo1”, pero también podemos abrir nuestro fichero que acabamos de ocultar de la siguiente manera:

start notepad flujos.txt:flujos2.txt

Y vemos como aparece el contenido que habíamos ocultado.

En la siguiente imagen podéis ver como se ha realizado la prueba.

flu2

Ahora vamos a realizar la misma prueba, pero lo que vamos a esconder es una imagen. Procederemos de la misma forma que antes pero cambiando el texto por una foto, y el tipo de fichero a ocultar por una imagen:

type “Puesta de sol.jpg” > flujos.txt:imagen.jpg

Podemos comprobar como podemos abrir este fichero oculto con la apliación paint (mspaint) de Windows.

flu3

Cuando queramos buscar la foto que está oculta, no la encontraremos. Si listamos el contenido de la carpeta Escritorio que es donde está oculta la foto, dentro de nuestro archivo flujos.txt, podemos ver como solo se nos lista el fichero de texto flujos.txt, y no hay ni rastro de la foto. En Windows XP no es posible detectarlo con las herramietnas propias de Windows, pero vamos a ver como en posteriores versiones de Windows, sí que será posible identificar estos ficheros ocultos con un nuevo comando que sacaron que es “/r”.

flu4

Si repetimos el mismo procedimiento que acabamos de utilizar en un Windows 7 obtendríamos el mismo resultado. El fichero quedaría oculto. Pero como acabo de decir a partir de Vista implementaron el comando “/r” de “dir” para poder identificar estos ficheros ocultos. Y como podemos ver en la siguiente foto, si hacemos un dir no veremos el fichero oculto, pero si hacemos

dir /r

Podemos ver como si que podemos identificar el fichero oculto.

flu5

Pues esta es una manera de ocultar ficheros en Windows.

Esto es un pequeño resumen de la prueba de concepto realizada a partir de un post de Flu-Project en donde Pablo Gonzalez nos explica esto con mucha más profundidad.

Roberto – @leurian

Leave a Reply

*

    No Twitter Messages